image

Microsoft: Windows 10 zonder CU kwetsbaar voor NSA-exploit

zondag 18 juni 2017, 09:58 door Redactie, 19 reacties
Laatst bijgewerkt: 18-06-2017, 15:20

De exploittechniek van de NSA waar de WannaCry-ransomware gebruik van maakte kan worden aangepast om Windows 10-systemen zonder de Creators Update en Device Guard aan te vallen, zo heeft Microsoft bevestigd. Eerder wisten onderzoekers van RiskSense de zogeheten EternalBlue-exploit van de NSA al voor Windows 10 aan te passen.

De softwaregigant heeft een analyse van twee gelekte NSA-exploits online gezet om de veiligheid van Windows 10 met de Creators Update te demonstreren. Naast de EternalBlue-exploit waar WannaCry zich door verspreidde gaat het ook om de EternalRomance-exploit. Beide exploits werden door een groep genaamd de Shadow Brokers online gezet en waren van de NSA afkomstig.

Zowel EternalBlue als EternalRomance maken gebruik van SMB-lekken in Windows die op het moment van de openbaarmaking door de Shadow Brokers al gepatcht waren. Toch wist de WannaCry-ransomware via de EternalBlue-exploit honderdduizenden en mogelijk zelfs miljoenen systemen te infecteren. Het ging voornamelijk om Windows 7-machines. In de analyse kijkt Microsoft naar de werking van beide exploits, de achterliggende technieken en hoe deze technieken tegen Windows 10 gebruikt zouden kunnen worden.

Volgens Microsoft zorgen nieuwe beveiligingstechnieken in de Creators Update, zoals het compileren van de kernel met Control Flow Guard (CFG) en de virtualization-based security (VBS) van Device Guard, dat beide exploittechnieken op Windows 10 niet werken. In het geval van Windows 10-systemen zonder Creators Update en Device Guard is het echter nog steeds mogelijk om de achterliggende exploittechniek van EternalBlue werkend te krijgen. Naast het upgraden naar de Creators Update en het gebruik van Device Guard adviseert Microsoft ook om inkomend SMB-verkeer op de firewall te blokkeren en waar mogelijk SMBv1 uit te schakelen.

Reacties (19)
18-06-2017, 10:28 door karma4
Zou de prioriteit anders leggen.
1/ geen poorten open zetten welke niet nodig zijn.
Waarom het aanvalsplan onnodig groot latenzijn.
2/verouderde protocollen zoals smbV1van IBM noemer gebruiken.
3/ gebruik software gevalideerd en gecontroleerd zodat je het op tijd weet als het fout zit.
Dan hoef je niet met veronderstellingen en aannames naar buiten te gaan als het onverhoopt toch mis gaat.
18-06-2017, 10:56 door Anoniem
Hoe kan ik zien of ik de CU heb? Zo nee, krijg ik m als ik alleen essentiële veiligheid updates aan heb staan?
Ik ben een Linux gebruiker die een W10 laptop van een gezinslid moet onderhouden maar niet echt bekend met het wazige update systeem van W10.
18-06-2017, 13:32 door Anoniem
Door Anoniem: Hoe kan ik zien of ik de CU heb? Zo nee, krijg ik m als ik alleen essentiële veiligheid updates aan heb staan?
Ik ben een Linux gebruiker die een W10 laptop van een gezinslid moet onderhouden maar niet echt bekend met het wazige update systeem van W10.

In windows druk je tegelijkertijd deze 2 toetsen in : Windows-toets + R
Tijp dan in het veld : msinfo32
en druk op OK
In het rechterpaneel moet bij "Versie" het volgende staan : 10.0.15063 build 15063
Dit is de Creators Update
18-06-2017, 13:32 door Anoniem
Wat een ongelofelijk gelul. XP werd ook niet gehacked (crashte wel) voor de EternalBlue exploit in de vorige maand in omloop zijnde WannaCry variant doordat de instantie van die exploit geen rekening hield met de door srv.sys in XP gebruikte geheugenadressen.

Alle DEP, ASLR en andere trucs die Microsoft bedacht en geïmplementeerd heeft zijn wishful thinking pogingen tot sympoombestrijding die tot nu toe allemaal bleken te kunnen worden omzeild (Google: maatregel bypass) en die ook niet garanderen dat er geen geheugencorruptie t/m BSOD's optreden. Waarom besteedt Microsoft de tijd die ze aan het ontwikkelen van dat soort tijdelijk mitigerende maatregelen verspilt niet naar het zelf zoeken en fixen van lekken in hun crappy code?

Waarom suggereert Microsoft dat je CU moet installeren om veilig te zijn voor EternalBlue? Is er wat mis met MS17-010 of wordt security voor de zoveelste keer aangegrepen om te zeggen dat alle voorgaande Windows versies kut waren qua security en dat dit probleem met deze versie once and for all is opgelost? Is er dan echt nog iemand (behalve karma4eddon) die dat gelooft?

En als Microsoft dan eindelijk een keer wel zelf spit in hun brakke code, en in een oogwenk ([1]) alleen al in SMBv1 code in 1 file (srv.sys), 14 lekken vindt ([2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15]) waarvan meerdere RCE, waarom schrijft ze daarbij dan steeds "Exploitation Less Likely" maar stelt die patches vervolgens wel na 1 maand ook (gratis) beschikbaar voor de niet meer ondersteunde XP en W2k3 [16]?

En waarom moeten wij gebruikers worden geadviseerd om lekke "features" uit te zetten (SMBv1, NetBIOS over TCP, SSDP, WPAD, UPNP etc etc) - waarom staan deze niet standaard uit (waarbij ik er geen bezwaar tegen heb als adrenalinejunkies die toch "niets te verbergen/verliezen hebben" in staat worden gesteld ze aan te zetten)? Mijn autodealer vertelt me toch ook niet na enkele jaren dat als ik hard wil kunnen remmen, ik onder de motorkap vanalles moet wijzigen?

[1] Historisch bezien doet zij vaak vele maanden over het slechts fixen van patches en haalt daarbij regelmatig door derden gestelde deadlines niet, zoals Google's 90 dagen limiet.
[2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0267
[3] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0268
[4] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0269
[5] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0270
[6] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0271
[7] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0272
[8] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0273
[9] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0274
[10] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0275
[11] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0276
[12] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0277
[13] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0278
[14] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0279
[15] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0280
[16] https://technet.microsoft.com/en-us/library/security/4025685.aspx

(Met dank aan karma4eddon omdat zijn compleet belachelijke bijdragen mij extra motiveren om de waarheid te schrijven).
18-06-2017, 13:40 door Anoniem
Door Anoniem: Hoe kan ik zien of ik de CU heb? Zo nee, krijg ik m als ik alleen essentiële veiligheid updates aan heb staan?
Ik ben een Linux gebruiker die een W10 laptop van een gezinslid moet onderhouden maar niet echt bekend met het wazige update systeem van W10.
Windows toets > Type "about" <enter> en kijk of bij versie staat 1703.
18-06-2017, 14:05 door Anoniem
@Anoniem 10:56: als c:\windows\system32\drivers\srv.sys van begin april 2017 is, ben je safe voor nu (ook zonder CU).
Nog veiliger is het om de server service permanent uit te zetten (run: services.msc) maar dan kan die PC geen mappen en printers meer delen - iets dat bijna niemand meer gebruikt vanwege NAS en netwerkprinters (de SMB client functie blijft wel gewoon werken, dat verzorgt de workstation service).
18-06-2017, 14:08 door karma4 - Bijgewerkt: 18-06-2017, 14:15
Door Anoniem:
(Met dank aan karma4eddon omdat zijn compleet belachelijke bijdragen mij extra motiveren om de waarheid te schrijven).
Laat ik nu last hebben van linux adepten die er een ongelooflijke zooi van naken. Helaas hun tekortkomingen niet willen inzien en keenelijk de houding toben dat het andermans fouten zijn.

Smbv1 is een ibm erfenis die waarvan de opvolging pas in 2007 in linux land opgepakt werd. Zelf dat gedoe wordt als een fout van een ander gezien. Ga het nu eens zelf goed doen ipv dat constante wegkijken en negeren.


Mijn autodealer vertelt me toch ook niet na enkele jaren dat als ik hard wil kunnen remmen, ik onder de motorkap vanalles moet wijzigen?
Je krijgt van je autodealer ongelooflijk veel mee en veel daarvan heb je niet nodig of hoop je nooit nodig te hebben. Dan nog moet dat ding regelnatig naar hem terug waarbij er van alles bijgewerkt wordt waar je dan voor moet betalen. Verplicht en onvermijdbaar het heet onderhoud en keuring.
De politie zeurt dat je een rijbewijs moet hebben en dat je verzekerd moet zijn allemaal zaken waar je aan moet voldoen en geen vrijheid hebt. Misdraag je je dan kan je alles inleveren heel ververveked want een inbreuk op je privacy om door rood te rijden en brokken te maken.
Nu even serieus met ict en cybersecurity aub.
18-06-2017, 14:20 door [Account Verwijderd]
[Verwijderd]
18-06-2017, 14:20 door Anoniem
Met Microsoft "under gag order"van de NSA etc. weet je het maar nooit. Eer de onvermijdelijke proliferatie plaats had, zaten de spooks al vijf jaar op deze 0-days en wie weet wat nog meer. Kwestie van trust en die is, als men de situatie voor de big surveillance staat bekijkt, niet meer of slechts ten dele af te geven, zeker niet voor eindgebruikers. Altijd zo geweest bij propriety code en niet alleen voor MS is dat zo.

Security through obscurity en 'tig" lagen beveiliging vaak volgens de waan van de dag.

Dus raad deze mensen aan Windows 10 in een VM als VirtualBox te draaien en ze weten zich veiliger op zo'n nep PC.

Van open software is bekend dat de code te controleren valt. Ok te hacken en exploitabel, zeker met een provider of andere dienst (cloud, CDN), die niet veilig werken (slordigheid of andere belangen). Dus ook geen Flint OS op je tablet? Hoe safe is Brave?

Dus doordring deze mensen van het feit dat ze online, alleen delen wat ze ook met de buren eventueel zouden delen.

Voor de rest geen laptop en zeker geen smartphone. De tijden van vertrouwen, resource hacken etc. zijn voorgoed voorbij. De onbegrensde mogelijkheden zijn er nog, maar dan moet je wel "uit de box" denken.

De eindgebruiker is zijn of haar onschuld nu wel verloren. Pandora gaat nooit meer echt terug in de doos.
18-06-2017, 14:25 door karma4
Door Neb Poorten:
Ijzersterk, goed onderbouwd en on-topic verhaal!
Ik zie alleen maar os bashing. Dat is het tegengestelde van een ijzersterk verhaal. Meer iets van gelovige die andersdenkenden moet bestrijden ter ere van zijn eigen kring.

Een ijzersterk begint met analyse van een probleem en werkt naar een oplossing toe.
18-06-2017, 15:49 door [Account Verwijderd] - Bijgewerkt: 18-06-2017, 19:13
[Verwijderd]
18-06-2017, 20:17 door karma4
Door Neb Poorten:
Door karma4:
Door Neb Poorten:
Ijzersterk, goed onderbouwd en on-topic verhaal!

Een ijzersterk begint met analyse van een probleem en werkt naar een oplossing toe.

Precies karma4! En dat is het ook!
Nope Ned . Je moet m u schien wer porten voordat je het helder kunt zien. Er is geen analyse en er is niets dat naar ren oplossing werkt. Wat overblijft ...tja
18-06-2017, 23:35 door [Account Verwijderd]
[Verwijderd]
19-06-2017, 05:30 door karma4
Door Neb Poorten: [
Hallo karma4. Dat leest alsof je rode Port hebt gedronken! Ik heb geen drank op en zie het inderdaad helder ja. Dank je voor het compliment. Goed verhaal van Anoniem met veel gelinkte achtergrond, zijn we het over eens! Proost!
Het porten ofwel omzetten van code naar andere hardware is iets waar Unix vroeger beruchte effecten mee had.
Daarmee kreeg he de programmeer en denkfouten te zien van hetgeen als bewezen werkend goed weggezet werd.

Dus doe nou eens hetzelfde met die post. Genoeg cve's en stommiteiten in b.v. lLinux b.v. Android waar je zo'n lijstje van jan maken. Dan lopen zeuren dat het aan de mensen er achter las techniek ligt. Dan zie dat het alleen bashing is en dus dat eerste verhaaltje ook. Mist echt probleemstelling en werken naar een oplossing.

Alleen in gelofsgemeenscappen mis je de kritiek daar blijft alles van de eigen groep geweldig en is fie van een ander verfoeilijk. Van die aanpak hou ik niet met techniek.
Helder toch
19-06-2017, 07:12 door Anoniem
Voor zover ik weet is Device Guard alleen beschikbaar voor Win 10 enterprise of education.
Lekker handig voor de normale consument dus om volgens MS "volledig" beschermd te zijn.
19-06-2017, 08:40 door [Account Verwijderd] - Bijgewerkt: 19-06-2017, 09:05
[Verwijderd]
19-06-2017, 09:11 door Anoniem
Door Anoniem:
Door Anoniem: Hoe kan ik zien of ik de CU heb? Zo nee, krijg ik m als ik alleen essentiële veiligheid updates aan heb staan?
Ik ben een Linux gebruiker die een W10 laptop van een gezinslid moet onderhouden maar niet echt bekend met het wazige update systeem van W10.

In windows druk je tegelijkertijd deze 2 toetsen in : Windows-toets + R
Tijp dan in het veld : msinfo32
en druk op OK
In het rechterpaneel moet bij "Versie" het volgende staan : 10.0.15063 build 15063
Dit is de Creators Update

2 de mogelijkheid : druk beide toetsen tegelijk in : Windowstoets + i
Klik op "systeem"

klik links op "info"

Rechts zie je alle info : zoals versie 1703,
build 15063

Om te zien of de update beschikbaar is :

druk beide toetsen tegelijk in : Windowstoets + i
Klik dan op "Bijwerken en beveiliging", en vervolgens op "Naar updates zoeken"
Daar zal je zien of versie 1703, build 15063 beschikbaar is ; dit is de creators update

Is dit niet het geval dan kan je deze update forceren zodat je niet moet wachten tot hij aangeboden wordt

Ga naar :
https://www.microsoft.com/nl-nl/software-download/windows10

Hier zie je hoe je de Windows creators update (in het nederlands : makersupdate) kan installeren

Klik bovenaan op "Update nu" .
Daarmee download je "Windows10upgrade9252.exe" ; dit moet je uitvoeren.
20-06-2017, 00:13 door Anoniem
Microsoft-linux, Microsoft-linux, Microsoft-linux, het lijkt wel ping pong en af en toe spat het digitale gravel gewoon op van de forum lijnen.

Hallo, waarom onstaan er hier steeds weer van die kleverige discussies tussen linux met natuurlijk ook de nodige problemen, denk aan Bashdoor (ik bedoel Shellshock), het nog lang niet weggebde Heartbleed, Cloudbleed VERSUS Microsoft Windows, een OS dat nooit aan het eind van de vorige eeuw zo aan het web had moeten worden gehangen met een architectuur, die niet te beveiligen valt. Net zoals Reich's javascript niet klaar was voor 'da Interwebs'.

Ja waarom fanboyism, flame-wars, nep-info en halve waarheden.....en waarom komt niemand hier eens lekker G**gle bashen, evenzeer brak en af en toe tot weer de volgende patch update het oplost niet vooruit te branden.

Toets tegelijk in de Google Chrome browser op shift en esc toetsen en aanschouw wat er aan geheugen geslurpt wordt onder de motorkap van deze bladeraar. Wil je adtracking and profiling in actie zien, kom naar het Google browser circus en verbaas u na een tijdje niet langer. De Belgische deskundige zou zeggen: "Het is gekend dat Google enz...". (GPU) en de invloed op bepaalde schijflevens. Het draaien van Google is even slecht voor uw computer als het eten van te veel fastfood voor uw lijf en leden.

Is Google OS een haartje beter dan de twee meestal gevonden kemphanen? Ik (ver)denk van niet.

Wie gaat hier eens in eerlijke zin op in?

Als ik kijk naar waar ik lichtelijk verstand van heb en de laatste 14 jaar beschouw met steeds gevorderde expertise. Dat is website security en website fouten-jagen. 70% van de websites, daar is wat op aan te merken.

Is de https-everywhere agenda van Google en gratis als root geconfigureerde certificaten niet voornamelijk meer cosmetica dan effectieve beveiliging? Jawel, uw connectie is beveiligd, wat doet de hoster of CDN inmiddels daarachter?

Kwetsbaarheden klaar om te misbruiken meer en meer gevarieerd als een lading Engelse drop. Server en client beveiliging en bewaking en protectie vaak om te huilen. Word Press brakke zooi, de rest ook vol met code met legio sinks en sources voor XSS-DOM ellende (no same origin). Code vol errors, doe eens een javascript unpacker scannetje. DNS en je ziet naamserver versies open ende bloot - exploit erbij zoeken en gaan met die abuse-banaan.

Ik hou hierover op, anders word ik intens vervelend voor degenen die het niet dagelijks zien of niet echt in geinteresseerd zijn. Lees er dan over of overheen. Anderen die het weten uit ervaring, beamen de toestand grif.

Wat is echt bewezen en vertrouwenswaardig veilig op onze online infrastructuur? Je kunt lang zoeken.

In plaats van dit vermakelijk elkander voor van alles en nog wat uitmaken en trollen, zoek eens waar platformen handen kunnen reiken en niet steeds als in de krant vroeger naar de zeven verschillen moeten zoeken!

Een dhcp server met gezamelijke code op MS draaien, heel wel mogelijk en het werkt, echt brilliant, Windows 10 op een linux VM, een geschenk uit de hemel voor opa en oma en ook voor hun kleinkinderen, eigenlijk voor iedereen.
De overgangsstap is niet zo groot. Linux op een usb stick. Ik heb zelfs laatstelijk binnen een browser zien draaien.
Besmet windows schoonmaken binnen een linuxomgeving dual boot. Hogere alchemie voor Windows malware removal. Het kan allemaal, waarom beginnen we er dan niet aan? Of gaan ze dan ook AI inzetten om open software van het propriety source lijf te houden? Voel me fijn met LibreOffice bijvoorbeeld!

Gaan we samen aan de gang, mannen, om eerst de digitale omgeving van Nederland en dan de rest wat veiliger te krijgen?

Stappen we af van de stammnenstriid? Met alleen maar over en weer met elkaar de kachel aanmaken en gechagrijn,
daar schieten we toch niets mee op, wel dan?

Hhet is niet gelijk allemaal pais en vree, er moet eerst nog heel wat water door Maas en Rijn, maar dan gloort er hoop. Innovatie achter de duinen. Ik droom er wel eens van. Eeen mooi gekleurde droom met een gouden randje.
21-06-2017, 12:56 door [Account Verwijderd] - Bijgewerkt: 21-06-2017, 12:57
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.